YFV是基于以太坊的一个DeFi项目,今天早些时候,YFV官方发文称遭到勒索。攻击者利用staking的合约漏洞,可以任意重置用户锁定的YFV。
并表示,此次事件可能和不久前的“pool0”事件相关,勒索者极有可能是在“pool0”事件中未取回资金的“愤怒的农民”。漏洞分析合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押,如下图所示:
BAYC:HV-MTL Forge上线Game Pass游戏通行证:金色财经报道,“无聊猿”BAYC官推宣布HV-MTL Forge已上线Game Pass游戏通行证,玩家需要强制刷新并重新加载游戏会话以解锁Game Pass选项卡,其中提供了1500套装备,可在7天内每天领取一组Powerups和能量提升包。此外,HV-MTL Forge还完成了搜索优化功能,支持通过机甲ID进行搜索并显示附加到特定HV的AMP类型。[2023/7/29 16:05:50]
此函数中的lastStakeTimes=block.timestamp;语句会更新用户地址映射的laseStakeTimes。而用户取出抵押所用的函数中又存在验证,要求用户取出时间必须大于lastStakeTimes+72小时。如下图所示:
UnfrozenStakeTime如下图所示:
综上所述,恶意用户可以向正常用户抵押小额的资金,从而锁定正常用户的资金。根据链上信息,我们找到了两笔疑似攻击的交易,如下所示:0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db其中一笔如下图所示:
此两笔交易都来自同一地址,且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。总结
针对于本次事件,究其根本原因,还是没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。根据成都链安在代码审计方面的经验,个别项目方在进行代码审计时,未提供完整的项目相关资料,使得代码审计无法发现一些业务漏洞,导致上线后损失惨重。成都链安·安全实验室在此提醒各项目方:安全是发展的基石,做好代码审计是上线的前提条件。
OKEx情报局行业周报带你快速回顾行业动态,厘清产业动向。目录:行情概览加密货币市场DeFi生态行业声音区块链产业赋能行业轶事行情概览根据CoinGecko数据,截至2020年8月21日17时,
太空测试奖励已于北京时间8月25日上午6点整准时启动,对于已经习惯了“鸽王”项目方的矿工们来说,此次竞赛加速了国内外的矿机集群挖矿的“军备竞赛”进度.
编者按:本文来自人神共奋,星球日报经授权发布。DCEP的未来世界未来的某一天,你在一家奢侈品商店买包包,付款时,原本满脸堆笑的营业员忽然用鄙视的眼光看着你:“对不起,这些钱你不能用,它附加了慈善.
上周海外明星项目进展中值得关注的有:SushiSwap创始人ChefNomi宣布将控制权转让给FTX创始人SBF;Ampleforth将于9月10日开启第二轮挖矿计划;DeFi借贷协议bZx宣布.
编者按:本文来自小吒闲谈,Odaily星球日报经授权转载。安培(AMPL)价格昨晚突破了1美元,意味就要进入正向循环,前几天正好写了几篇关于安培(AMPL)的文章.
来自|SEC官网,编译|PANews 美国证券交易委员会于2020年8月26日通过了对“合格投资者”定义的修订,“合格投资者”是该监管机构确定哪类人有资格参与私人资本市场的主要标准之一.